Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

A DNS-kiszolgáló működésének változásai a DNS-kiszolgáló biztonsági frissítésének telepítése után

A Windows XP támogatása megszűnt

A Microsoft 2014. április 8-án megszüntette a Windows XP terméktámogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

BEVEZETÉS

Telepítés utáni viselkedés a kiszolgáló-számítógépeken a DNS-kiszolgáló biztonsági frissítésének telepítését követően

A jelen tudásbáziscikk célja a felhasználók tájékoztatása azon esetekről, amelyeket a DNS-kiszolgáló működésének várható módosítása érint. A dokumentum létrehozásakor szempont volt, hogy a lehető legáltalánosabb legyen. Olvassa el a teljes dokumentumot annak megértéséhez, hogy miként érintheti a frissítés vállalati környezetét.

A DNS-kiszolgáló biztonsági frissítéséről a Microsoft Tudásbázis következő cikkében tájékozódhat:
961063MS09-008: A DNS-kiszolgáló biztonsági frissítése: 2009. március 10.
További információ

Elnevezések

KifejezésElnevezés
DNSA Domain Name System (Tartománynévrendszer) egy szabványos internetes protokoll, amely a neveket IP-címekre fordítja, és fordítva.
WPADWeb Proxy Auto-Discovery protokoll
ISATAPIntra-Site Automatic Tunnel Addressing protokoll

A biztonsági problémák áttekintése

Az Internet Explorer és a hasonló ügyfélprogramok a WPAD protokoll segítségével keresik a proxykiszolgálókat. Az ügyfélszámítógépek a WPAD-név feloldásával és a DNS használatával keresik a WPAD-kiszolgálót. Az ISATAP protokoll egy IPv6-átviteli technológia. A DNS-ügyfelek ISATAP-felderítést hajtanak végre, amely a WPAD esetén használt módszerhez hasonló. A WPAD- vagy az ISATAP-bejegyzések rosszindulatú regisztrációja egy vállalati hálózaton belül lehetővé teheti, hogy egy támadó kártevő proxyt állítson be. A biztonsági probléma kerülő megoldásokkal küszöbölhető ki. Ilyen például a fenntartott állomásbejegyzés DNS-adatbázisban történő regisztrálása. A rendszergazdának IP-cím regisztrálása nélkül kell regisztrálnia az állomásnevet, és így fenntartani az állomásbejegyzést.

A DNS-kiszolgáló működésének változásai a biztonsági frissítése telepítése után

A DNS-kiszolgáló működése az alábbi módon változik meg a DNS biztonsági frissítésének telepítése után:
  • A biztonsági frissítés automatikusan létrehoz egy, a DNS által használt tiltólistát. A rendszer minden lekérdezett nevet ellenőriz a tiltólistán, és az azon szereplő névnek egy üres választ küld.
  • A tiltólista alapértékei az abban a zónában szereplő adatoktól függenek, amelyben a frissítés futtatásakor a kiszolgáló mérvadó. Ha a zóna adatai között nem szerepelnek WPAD- vagy ISATAP-bejegyzések, akkor a rendszer a WPAD- vagy ISATAP-bejegyzéseket tölti fel a tiltólistára.
  • Ha a DNS-adatbázisban már megtalálható a bejegyzések valamelyike, akkor a WPAD- vagy az ISATAP-bejegyzéseket a rendszer nem tölti fel a tiltólistára.
  • A rendszergazda a beállításjegyzékben konfigurálhatja és szerkesztheti a tiltólistát. A tiltólista elfogadásához újra kell indítani a DNS szolgáltatást.
  • A DNS szolgáltatás esetén a tiltólista a kiszolgálón található összes zónára vonatkozik. Az nem lehetséges, hogy a WPAD- és az ISATAP-lekérdezéseket csak az egyik zónában engedélyezze, és a másikban nem.
  • Az egyes kiszolgálókhoz tartozó tiltólistát a rendszer a beállításjegyzékben tárolja. A tiltólista-bejegyzések nem replikálódnak több kiszolgáló között.

Gyakori kérdések

  1. Mi történik, ha DNS-kiszolgálóról Longhorn-kiszolgálóra frissítek?
    Válasz: Az érvényes WPAD- és ISATAP-bejegyzéseket használó DNS-kiszolgáló továbbra is ugyanúgy fog működni.
  2. Hol található a tiltólista bejegyzése a beállításjegyzékben?
    Válasz: A tiltólista a GlobalQueryBlockList REG_MULTI_SZ bejegyzést használja a következő alkulcsban:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
  3. Mi történik, ha törlöm a tiltólista bejegyzéseit a beállításjegyzékben?
    Válasz: A WPAD és az ISATAP lekérdezései sikeresek lesznek a szolgáltatás újraindítása után.
  4. Mi történik, ha törlöm a GlobalQueryBlockList beállításkulcsot?
    Válasz: A szolgáltatás újraindításakor a rendszer ismét hozzáadja a kulcsot, és ismét betölti az alapértelmezett tiltólista-értékeket. A nem szöveges WPAD- és ISATAP-lekérdezéseket a rendszer letiltja.
  5. Mi történik, ha a beállításjegyzékben felveszem a „kontraktor” bejegyzést a tiltólistára?
    Válasz: Miután felvette a bejegyzést a tiltólistára, a szolgáltatás újraindítását követően a kontraktor névre történő összes lekérdezés minden zónában sikertelen lesz.
  6. Mi történik, ha a DNS-adatbázisban már szerepel egy kontraktor bejegyzés, és a tiltólistára is felveszem azt?
    Válasz: A „kontraktor.sajátzóna.com” lekérdezések sikertelenek lesznek.
  7. A hálózatomban WPAD-kiszolgáló van telepítve. Érinteni fog engem a frissítés?
    Válasz: Nem. Ha a WPAD telepítve van a hálózatán, és már rendelkezik a DNS szolgáltatásban regisztrált WPAD-névvel, a rendszer nem fogja azt letiltani. Ha azonban a WPAD telepítve van a hálózaton, DHCP segítségével terjeszti a wpad.dat fájlt, és a DNS szolgáltatásban nem található bejegyzés, a WPAD DNS-lekérdezése tiltva lesz.
  8. Használható a DNSCMD.exe a tiltólista konfigurálásához?
    Válasz: Nem. A tiltólista csak a beállításjegyzékben módosítható.
  9. Sikertelen lesz a letiltott bejegyzések regisztrálása a DNS-kiszolgálóban?
    Válasz: Nem. A tiltólista szolgáltatás részeként a regisztrálások sikerülni fognak. Csak a letiltott bejegyzések lekérdezése hiúsul meg.
  10. Csak az (A vagy AAAA típusú) állomáslekérdezéseket blokkolja a szolgáltatás?
    Válasz: Nem, a tiltólistában szereplő nevek összes típusú lekérdezése tiltva van.
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE WinNT Win2000
Tulajdonságok

Cikkazonosító: 968732 - Utolsó ellenőrzés: 01/18/2010 14:01:00 - Verziószám: 4.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows 2000 Service Pack 4

  • kbsecvulnerability kbsecurity kbexpertiseinter kbsurveynew KB968732
Visszajelzés
;did=1&t=">ay:none;" onerror="var m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">